Vulnérabilité critique dans Azure API Connection permettant l'escalade de privilèges et l'exfiltration de secrets
2025-03-12
Des chercheurs en sécurité de Binary Security ont découvert des API non documentées dans les connexions API Azure, permettant l'escalade de privilèges et l'exfiltration de secrets à partir de ressources back-end telles que Key Vaults, les blobs de stockage, Defender ATP, et même les serveurs Jira et Salesforce d'entreprise. La vulnérabilité provient de la capacité de tout utilisateur disposant d'un accès en lecture à une connexion API d'appeler n'importe quelle requête GET définie, contournant ainsi les contrôles de sécurité et accédant à des données sensibles. Microsoft a reconnu et corrigé la vulnérabilité.